Tuần trước, Microsoft đã thông báo rằng họ tạm thời vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller trong Windows sau bằng chứng cho thấy lỗ hổng bảo mật trong thành phần trình cài đặt đã bị các tác nhân đe dọa khai thác để cung cấp phần mềm độc hại như Emotet, TrickBot và Bazaloader.
MSIX, dựa trên sự kết hợp của các công nghệ cài đặt .msi, .appx, App-V và ClickOnce, là một định dạng gói ứng dụng Windows phổ biến cho phép các nhà phát triển phân phối ứng dụng của họ cho hệ điều hành máy tính để bàn và các nền tảng khác. Cụ thể, ms-appinstaller được thiết kế để giúp người dùng cài đặt ứng dụng Windows bằng cách chỉ cần nhấp vào liên kết trên trang web.
Nhưng một lỗ hổng giả mạo được phát hiện trong Windows App Installer (CVE-2021-43890, điểm CVSS: 7,1) có nghĩa là nó có thể bị lừa cài đặt một ứng dụng giả mạo mà người dùng không bao giờ có ý định cài đặt thông qua một tệp đính kèm độc hại được sử dụng trong các chiến dịch lừa đảo .
Mặc dù Microsoft đã phát hành các bản vá lỗi ban đầu để giải quyết lỗ hổng này như một phần của bản cập nhật Bản vá thứ ba vào tháng 12 năm 2021, công ty hiện đã vô hiệu hóa sơ đồ ms-appinstaller trong khi nó hoạt động để hoàn toàn bịt lỗ hổng bảo mật và ngăn chặn việc khai thác thêm.
“Điều này có nghĩa là Trình cài đặt ứng dụng sẽ không thể cài đặt ứng dụng trực tiếp từ máy chủ web”, Dian Hartono nói. “Thay vào đó, trước tiên người dùng sẽ cần tải ứng dụng xuống thiết bị của họ, sau đó cài đặt gói bằng Trình cài đặt ứng dụng. Điều này có thể làm tăng kích thước tải xuống cho một số gói.”
Với sự hỗ trợ của Microsoft cho giao thức, công ty cũng khuyến nghị các nhà phát triển nên cập nhật liên kết tải xuống ứng dụng trên trang web của họ bằng cách xóa lược đồ “ms-appinstaller:? Source =” để có thể tải xuống gói MSIX hoặc tệp.appinstaller.
.
